Aktualności

Analiza hamweq – malware służącego do ataków DDoS

Data publikacji: 03/06/2011, CERT Polska

hamweq

W niniejszym opracowaniu opisane zostały działania zespołu CERT Polska związane z analizą oraz monitorowaniem aktywności komputerów zainfekowanych malware hamweq. Celem badania było poznanie mechanizmów działania, rozprzestrzeniania się oraz sposobów zarządzania opisywanym złośliwym oprogramowaniem. Dodatkowo przeprowadzona została analiza komend jaki mogą być przesłane przez botmastera do zombie.

W porównaniu z innymi programami możliwości omawianego malware są stosunkowo ubogie, a kontrola nad zainfekowanym komputerem ogranicza się jedynie do wydawania paru prostych poleceń. Służą one głównie do przeprowadzania ataków DDoS – które stanowią obecnie jedno z największych zagrożeń w sieci (ostatnio często nagłaśnianych w mediach). Hamweq został również wymieniony w raporcie bezpieczeństwa opublikowanych przez Microsoft w połowie 2010 roku jako jeden z najczęściej spotykanych złośliwych programów. Znajduje się on dokładnie na trzecim miejscu, daleko przed takimi malware jak ZeuS czy SpyEye. Ten właśnie fakt, oraz brak dostępnych szczegółowych analiz hamweq w sieci stały się głównym powodem wybrania tego malware jako przedmiotu badania.

Raport można pobrać pod adresem : https://www.cert.pl/wp-content/uploads/2011/06/201106_hamweq.pdf

Fałszywe antywirusy na Mac OS X atakują!

Data publikacji: 19/05/2011, CERT Polska

mac  os x rogue antivirus

Od początku miesiąca w Internecie zamieszczane są informacje o pojawianiu się stron podszywających się pod oprogramowanie antywirusowe dla systemów Mac OS X. Strona wyświetla listę „znalezionych” na komputerze zagrożeń oraz sugeruje instalację oprogramowania, które pozwoli na ich usunięcie. W rezultacie w systemie instalowane jest złośliwe oprogramowanie, które nakłaniania użytkownika do zakupu licencji! Nie są znane inne funkcje tego malware. Czy oznacza to początek ery złośliwego oprogramowania na komputerach Apple?

Jak się chronić ?

Czytaj więcej

Kolejny wyciek… tym razem kod źródłowy trojana ZeuS.

Data publikacji: 12/05/2011, CERT Polska

wyciek kodu zeusa

Na początku tego roku ZeuS zaatakował telefony komórkowe (czytaj więcej…). W marcu na podziemnych forach internetowych pojawiły się pogłoski na temat wystawienia kodu trojana na sprzedaż. Na początku tego tygodnia w internecie pojawiły się informacje o rzekomym wycieku kodu źródłowego. CERT Polska udało się zweryfikować tę informację oraz pobrać paczkę zawierającą kod. Źródło oprogramowania, które jeszcze parę miesięcy temu sprzedawane było za tysiące dolarów, krąży aktualnie niekontrolowane w internecie. Nie jest jak na razie znane źródło wycieku.

Przeanalizowany przez nas zestaw oznaczony jest wersją 2.0.8.9. Zawiera kompletne źródła aplikacji (trojana) oraz panelu zarządzającego. Jest to pokaźna ilość danych do analizy – kod źródłowy samej „aplikacji klienckiej” to około 950 kilobajtów kodu!

Pozyskanie takich informacji przez instytucje zajmujące się bezpieczeństwem teleinformatycznym (między innymi firmy antywirusowe) powinno zdecydowanie ułatwić walkę ze szkodnikiem. Niestety, można również spodziewać się wysypu ataków wykorzystujących szkodliwe oprogramowanie zbudowane z dostępnych źródeł – jak również pojawienie się nowych wariantów bazujących na jego kodzie.

Czytaj więcej

SECURE 2011 – Call for Speakers otwarte!

Data publikacji: 02/05/2011, CERT Polska

Secure 2011Poprzedni rok to nieustający rozwój dziedziny bezpieczeństwa teleinformatycznego. W tym czasie zespół CERT Polska otrzymał ponad 12 milionów zgłoszeń incydentów dotyczących między innymi aktywności botnetów, phishingu, ataków DDoS i spamu. Na świecie pojawiło się pierwsze zagrożenie ukierunkowane na instalacje sieci przemysłowych – robak Stuxnet, zaś ataki DDoS grupy Anonymous zaczęły stanowić zagrożenie dla rządów Państw. Przestępcy wciąż ulepszają swoje techniki działań – rok 2011 powitaliśmy nowymi atakami na konta bankowe, przeprowadzanymi poprzez infekcje telefonów komórkowych. Konferencja SECURE to unikalna okazja, aby posłuchać co maja do powiedzenia o takich wydarzeniach czołowi eksperci z dziedziny bezpieczeństwa z całego świata.

W tym roku konferencja SECURE będzie kontynuowana w udanej formie z roku poprzedniego, stawiając na międzynarodową formułę, wysoki poziom merytoryczny i aktualność poruszanych tematów. Zapewnia to swoim wieloletnim doświadczeniem organizator konferencji – działający w ramach NASK zespół CERT Polska. SECURE jest konferencją poświęconą w całości bezpieczeństwu teleinformatycznemu i adresowaną do administratorów, członków zespołów bezpieczeństwa oraz praktyków z tej dziedziny. Wśród tematów szczególny nacisk kładzie się na praktyczne rozwiązania, najnowsze trendy w przeciwdziałaniu zagrożeniom oraz istotne zagadnienia prawne. Uczestnicy mają dostęp do najnowszej wiedzy, a przez to zyskują możliwość podnoszenia swoich kwalifikacji oraz cenną wymianę doświadczeń.

SECURE 2011 odbędzie się w dniach 24-26 października, w Centrum Konferencyjnym Adgar Plaza w Warszawie. Skupiać się będzie wokół trzech głównych nurtów:
Czytaj więcej

Poważny wyciek danych z Sony

Data publikacji: 27/04/2011, CERT Polska

Wyciek danych z Sony

W oficjalnym komunikacie firma Sony podała, że między 17 a 19 kwietnia miało miejsce włamanie do usług PlayStation Network oraz Qriocity. Usługi te zostały natychmiast odłączone od Internetu (w chwili publikacji tej wiadomości CERT Polska nie ma żadnych oficjalnych informacji kiedy zostaną przywrócone). Łupem bliżej niesprecyzowanych osób padły dane prawie 80 milionów klientów Sony – co stawia ten incydent na pierwszym miejscu pod względem wielkości pośród znanych wycieków danych. Wykradzione informacje zawierają m.in. loginy, hasła, nazwiska, adresy zamieszkania i email, daty urodzin i najprawdopodobniej numery kart kredytowych wykorzystywanych do zakupów w PSN i Qriocity. Sony na wszelki wypadek zaleca skrupulatne sprawdzanie wyciągów z kart płatniczych oraz zastrzega, że nie będzie pod żadnym pozorem wysyłać do klientów emaili z prośbą o podanie jakichkolwiek danych (w szczególności haseł czy numerów kart). Warto zauważyć, że na dodatkowe niebezpieczeństwo narażone są osoby, które wbrew zaleceniom specjalistów od bezpieczeństwa, używają jednego hasła do wielu serwisów – powinny jak najszybciej zmienić hasło do konta email zarejestrowanego w PSN.

Analiza złośliwego dokumentu PDF używanego do instalacji SpyEye

Data publikacji: 08/04/2011, CERT Polska

Jak przekonaliśmy się kilka dni temu, złośliwe dokumenty PDF pozostają jedną z popularnych metod rozprzestrzeniania się malware’u typu banker-trojan. Złośliwy dokument PDF, o którym pisaliśmy, wykorzystuje lukę w programie Adobe Reader do przeprowadzenia włamania na komputerze użytkownika, który go otworzył, po czym instaluje w systemie trojana SpyEye.

Czytaj więcej

UWAGA! SpyEye w PDF atakuje polskich internautów!

Data publikacji: 06/04/2011, CERT Polska

SpyEye PDF

Dzięki współpracy polskich zespołów bezpieczeństwa, związanych inicjatywą Abuse-Forum, udało się wykryć oraz przeanalizować nowe zagrożenie. Od 03.04.2011 do polskich internautów trafia wiadomość e-mail zawierająca w załączniku złośliwy dokument PDF. Z analiz przeprowadzonych przez CERT Polska wynika, że po otwarciu załączonego pliku komputer zostaje zainfekowany złośliwym oprogramowaniem SpyEye. Oprogramowanie to wykrada poufne informacje wprowadzane przez użytkownika na stronach internetowych (w tym systemach bankowości elektronicznej).

POD ŻADNYM POZOREM NIE NALEŻY OTWIERAĆ ZAŁĄCZNIKA!
Wiadomość taką dla bezpieczeństwa należy skasować. Można ją przekazać do laboratorium CERT Polska wysyłając na adres [email protected]

Jak rozpoznać złośliwą wiadomość ?

Czytaj więcej

Slammer nie żyje!

Data publikacji: 23/03/2011, TomaszG.

Wygląda na to, że w czwartek 10. marca 2011 roku pożegnaliśmy (oby na zawsze!) obecnego w Internecie od 2003 roku uciążliwego robaka SQL Slammer. Ruch sieciowy będący efektem jego działania przestał być widziany przez sondy systemu ARAKIS. Wcześniej nieprzerwanie należał on do ścisłej czołówki zagrożeń rejestrowanych przez system od początku istnienia ARAKIS-a. Nagłe i niespodziewane zniknięcie robaka zostało także odnotowane przez zagraniczne serwisy, m.in. ISC SANS.
Przypomnienie, co to jest robak SQL Slammer (cytat z naszego newsa pt. „20. rocznica robaka internetowego – czas na podsumowania i wnioski (cz.1)” z 5 listopada 2008):

Czytaj więcej

CERT Polska publikuje Raport Roczny 2010

Data publikacji: 15/03/2011, przemek

CERT Polska

W raporcie z pracy zespołu CERT Polska prezentujemy i omawiamy statystyczny obraz zagrożeń dotyczących polskich sieci w 2010 roku. Opisujemy także najciekawsze naszym zdaniem zjawiska i wydarzenia, które pojawiły się lub mocno zaktywizowały w tym okresie. Po raz pierwszy znaczną część raportu zajmują analizy dokonane na podstawie nie tylko incydentów obsłużonych przez nas ręcznie w systemie zgłoszeń, ale przede wszystkim ponad 12 milionów informacji, które otrzymujemy z różnego rodzaju systemów, zarówno własnych jak i zewnętrznych. Jest to naszym zdaniem wyjątkowo miarodajny obraz, zarówno ze względu na ogrom wykorzystanych informacji i wielość źródeł, jak i fakt, że dotyczą one praktycznie całej polskiej przestrzeni adresowej.Czytaj więcej

Halo, tu ZITMO – czyli jak usunąć malware z telefonu.

Data publikacji: 04/03/2011, CERT Polska

zeus_zitmo2

Parę dni temu opisywaliśmy lutowy atak ZeuSa oraz ZITMO, który skierowany był na klientów polskich banków. Jest to nowa strategia ataku polegająca na zainfekowaniu nie tylko komputera ale również telefonu ofiary. Komunikacja zainfekowanego telefonu z C&C (centrum zarządzania) odbywa się poprzez wiadomości SMS wysyłane na określony numer. Atakujący ma możliwość np.: całkowicie zablokować możliwość wykonywania oraz odbierania rozmów, czy też przekierować wszystkie przychodzące wiadomości SMS na jego numer (wiadomości te nie są widoczne na telefonie ofiary). Podczas analizy zebranych próbek CERT Polska znalazł trzy różne numery telefonów. Wszystkie pasują do schematu: +44778148****.

  Jedną z możliwych (i skutecznych) kuracji telefonu jest FACTORY RESET. Przywraca on urządzenie do stanu „pierwotnego”, tym samym usuwając szkodnika z pamięci. Niestety usuwa również wszystkie inne informacje i ustawienia zapisane w telefonie. W przypadku infekcji komputera dostępna jest instrukcja usunięcia ZeuSa umieszczona na stronie banku ING.

Poniżej zamieszczamy krótki opis każdego z „gatunków” lutowego ZITMO:

Czytaj więcej